# AWS Security Hub で事前定義された対応と修復アクションにより、セキュリティの脅威に自動的に対処する この実装ガイドでは、AWS での自動化されたセキュリティ対応ソリューションの概要、そのリファレンスアーキテクチャとコンポーネント、デプロイを計画する際の考慮事項、AWS での自動化されたセキュリティ対応ソリューションを Amazon Web Services (AWS) クラウドにデプロイするための設定手順について説明します。 このナビゲーションテーブルを使用すると、次の質問に対する回答をすばやく見つけることができます。 | 質問内容 | 参照先 | | --- | --- | | このソリューションの実行に必要なコストが知りたい場合。 | [Cost](cost.md) | | このソリューションのセキュリティ上の考慮事項を理解する。 | [セキュリティ](security.md) | | このソリューションのクォータを計画する方法が知りたい場合。 | [クォータ](quotas.md) | | どの AWS リージョンでこのソリューションをサポートしているか知りたい場合。 | [サポートしている AWS リージョン](plan-your-deployment.md#supported-aws-regions) | | このソリューションに含まれている AWS CloudFormation テンプレートを表示またはダウンロードして、このソリューションのインフラストラクチャリソース ("スタック") を自動的にデプロイする。 | [AWS CloudFormation テンプレート](aws-cloudformation-template.md) | | ソースコードにアクセスし、オプションで AWS Cloud Development Kit (AWS CDK) を使用してソリューションをデプロイする。 | [ GitHub リポジトリ](https://github.com/aws-solutions/automated-security-response-on-aws)。 | セキュリティは進化し続けるため、データを保護するための積極的な対策が必要であり、セキュリティチームが対応するのが難しく、費用と時間がかかることがあります。AWS での自動化されたセキュリティ対応ソリューションは、業界のコンプライアンス標準とベストプラクティスに基づいて事前定義された対応と修復アクションを提供することにより、セキュリティ問題に迅速に対応するのに役立ちます。 AWS での自動化されたセキュリティ対応は、[AWS Security Hub](https://aws.amazon.com/security-hub/) と連携してセキュリティを強化し、ワークロードを Well-Architected セキュリティの柱のベストプラクティス ([SEC10](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html)) に合わせて調整するのに役立つ AWS ソリューションです。このソリューションにより、AWS Security Hub のユーザーは一般的なセキュリティ上の検出結果を解決し、AWS でのセキュリティ体制を改善することが容易になります。 特定のプレイブックを選択して、Security Hub のプライマリアカウントにデプロイできます。各プレイブックには、単一の AWS アカウント内または複数の AWS アカウント間で修復ワークフローを開始するために必要なカスタムアクション、[Identity and Access Management](https://aws.amazon.com/iam/) (IAM) ロール、[Amazon EventBridge ルール](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)、[AWS Systems Manager](https://aws.amazon.com/systems-manager/) Automation ドキュメント、[AWS Lambda](https://aws.amazon.com/lambda/) 関数、[AWS Step Functions](https://aws.amazon.com/step-functions/) が含まれています。修復は AWS Security Hub の [アクション] メニューから実行します。承認されたユーザーは AWS Security Hub が管理するすべてのアカウントの検出結果を 1 回のアクションで修復できます。例えば、AWS リソースを保護するためのコンプライアンス基準である Center for Internet Security (CIS) AWS Foundations Benchmark の推奨事項を適用して、パスワードの有効期限を 90 日以内にしたり、AWS に保存されたイベントログの暗号化を強制したりすることができます。 **注記** 修復は、早急な対処が必要な緊急事態を対象としています。このソリューションが検出結果を修復するための変更を行うのは、AWS Security Hub マネジメントコンソールから開始した場合、または修復設定 DynamoDB テーブルを使用して自動修復を有効にしている場合のみです。これらの変更を元に戻すには、リソースを手動で元の状態に戻す必要があります。 CloudFormation スタックの一部としてデプロイした AWS リソースを修復する場合は、ドリフトが発生する可能性があることに注意してください。可能な場合は、スタックのリソースを定義するコードを変更し、スタックを更新して、スタックのリソースを修復してください。詳細については、「*AWS CloudFormation ユーザーガイド*」の「[ドリフトとは](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)」を参照してください。 AWS での自動化されたセキュリティ対応には、 + [「Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)」、 + [「CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)」、 + [「CIS AWS Foundations Benchmark v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)」、 + [「AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)」、 + [「Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)」、 + 「[米国国立標準技術研究所 (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)」の一部として定義されているセキュリティ標準のプレイブックによる修復が含まれています。 このソリューションには、AWS Security Hub の[統合されたコントロールの検出結果機能](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)用のセキュリティコントロール (SC) プレイブックも含まれています。詳細については、「[プレイブック](playbooks.md)」セクションを参照してください。SC プレイブックを Security Hub の統合されたコントロールの検出結果とともに使用することをお勧めします。 この実装ガイドでは、AWS クラウドに AWS での自動化されたセキュリティ対応ソリューションをデプロイするためのアーキテクチャ上の考慮事項と設定手順について説明します。セキュリティと可用性に関する AWS のベストプラクティスを使用して、このソリューションを AWS にデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他さまざまなサービスを起動、設定、実行する [AWS CloudFormation](https://aws.amazon.com/cloudformation/) テンプレートへのリンクが含まれています。 このガイドは、AWS クラウドにおけるアーキテクチャの設計の実務経験がある IT インフラストラクチャアーキテクト、管理者、DevOps プロフェッショナルを対象としています。